6

我正在尝试使用maven-gpg-plugin:sign在部署到 Sonatype OSS 存储库之前签署项目工件。问题是我应该在哪里保存我的密钥secring.gpg

  1. 在持续集成~/.gnupg目录中
  2. 在项目源代码中,例如src/test/resources/gpg/secring.gpg

为什么?

4

1 回答 1

3

如果密钥敏感,请将其放在 CI 服务器上的 ~/.gnupg 目录中,并使用适当的访问修饰符保护该目录。第二种方法将允许每个有权访问项目的开发人员查看密钥。

于 2010-12-22T17:48:50.220 回答